Эксперты ESET выявили крупномасштабную кибератаку с использованием уязвимостей нулевого дня в Windows и Firefox. За атаками стоит группировка RomCom.
Эксперты в области кибербезопасности из компании ESET сообщили о масштабной атаке, организованной хакерской группировкой RomCom. Злоумышленники использовали две ранее неизвестные уязвимости нулевого дня — одну в браузере Firefox, другую в операционной системе Windows.
Что известно об атаке
Это уже как минимум второй случай, когда RomCom эксплуатирует значительную уязвимость нулевого дня. В июне 2023 года группировка использовала уязвимость CVE — 2023-36884 через Microsoft Word.
Эта критическая уязвимость, получившая идентификатор CVE — 2024-9680 и оценку 9,8 по шкале CVSS, позволяет выполнять код в ограниченном контексте браузера в уязвимых версиях Firefox, Thunderbird и браузера Tor. В сочетании с другой ранее неизвестной уязвимостью в Windows (CVE — 2024-49039) с оценкой CVSS 8,8 хакеры могли выполнять произвольный код в контексте учетной записи вошедшего в систему пользователя.
CVSS (Common Vulnerability Scoring System) — это универсальная система оценки уязвимостей в программном обеспечении и информационных системах. Она позволяет количественно определить степень риска, которую несет обнаруженная уязвимость, на основе ее технических характеристик и возможного влияния. Шкала широко используется специалистами по информационной безопасности, разработчиками и администраторами для оценки приоритета исправления уязвимостей.
Результаты оцениваются по десятибалльной шкале:
- 0.0–3.9: Низкий уровень угрозы.
- 4.0–6.9: Средний уровень угрозы.
- 7.0–8.9: Высокий уровень угрозы.
- 9.0–10.0: Критический уровень угрозы.
Если уязвимость получает оценку 9.8, как в случае CVE — 2024-9680, это означает критический риск, так как уязвимость может быть легко использована и приводит к серьезным последствиям для системы или данных.
CVSS помогает компаниям эффективно расставлять приоритеты в исправлении уязвимостей, сосредотачивая ресурсы на самых опасных угрозах.
Большинство атакованных пользователей проживает в Европе и Северной Америке. По данным экспертов, в каждой стране число жертв варьировалось от 1 до 250.
Реакция разработчиков
После того как специалисты ESET уведомили компании-разработчиков, уязвимость в Firefox была устранена уже 9 октября. Позже ее исправили и в браузере Tor, который базируется на коде Firefox. Однако доказательств того, что злоумышленники использовали уязвимость Tor, обнаружить не удалось.
Microsoft устранила проблему в Windows только 12 ноября после получения информации от подразделения Google Threat Analysis Group.
Что известно о группировке RomCom
СМИ связывают группировку RomCom связывают с Россией, но ее точное происхождение пока не подтверждено. Ранее она уже становилась фигурантом расследований, связанных с кибератаками на крупные организации.
Как защититься
Эксперты рекомендуют пользователям регулярно обновлять программное обеспечение, чтобы защититься от атак с использованием уязвимостей нулевого дня. Также важно избегать посещения подозрительных сайтов и использовать проверенные антивирусные решения.
